Nella giornata del 6 febbraio 2023, l’Italia è stata scossa da due eventi apparentemente sconnessi tra loro, ma solo in seguito appurati come strettamente collegati: la rete nazionale TIM che registra una capacità di funzionamento inferiore al 30% e un attacco hacker di rilevanza internazionale.
Infatti, la rete italiana ha registrato un improvviso blocco e un significativo problema di traffico dati per diverse ore, ma non si è trattato di un semplice problema tecnico.
L’attacco informatico è stato condotto sfruttando meticolosamente la presenza di una falla nota nel sistema di VMware, per cui l’azienda madre aveva rilasciato una patch correttiva due anni prima, a febbraio 2021.
La situazione generale in un primo momento sembrava sotto controllo, ma nelle ore successive è stato diramato un comunicato ufficiale, direttamente da Palazzo Chigi, nel quale si dichiarava che l’Italia era scampata all’attacco.
A posteriori dobbiamo domandarci, si è trattato veramente di un caso isolato e di poco conto?
Attacco informatico a MyTim
L’attacco hacker condotto su scala internazionale ha coinvolto come principale vittima l’azienda di telecomunicazioni TIM.
Il primo campanello di allarme si è manifestato nel momento in cui alcuni clienti hanno ricevuto un’e-mail sospetta da parte dell’azienda che li invitava a cambiare tempestivamente la password del loro account MyTim.
Dapprincipio si è pensato trattarsi di casi isolati, ma quando più utenti hanno segnalato di aver ricevuto della stessa comunicazione, allora si è compresa la gravità della situazione. Nelle ore successive alla diramazione dell’e-mail è emerso effettivamente che il colosso TIM era stato vittima di un attacco al sistema RDP, condotto da un collettivo di hacker tuttora ignoti.
A seguito di questa situazione, l’azienda aveva richiesto il cambio della password per cercare di mitigare il più possibile l’accesso alle credenziali e ai dati sensibili degli utenti, ma sfortunatamente gli attaccanti avevano già esfiltrato gran parte delle informazioni degli utenti.
A seguito dell’intervento diretto del CSIRT si è scoperto che l’attacco aveva violato i server VMware ESXi, a cui si era aggiunto un problema tecnico ai router Sparkle, l’azienda che si occupa della gestione della fibra ottica di TIM.
Questo secondo problema, era strettamente legato al protocollo BGP (Border Gateway Protocol), il protocollo in grado di gestire flussi di traffico tra i sistemi autonomi. Il problema ha generato un rallentamento estremo della connettività di rete a livello nazionale.
Tuttavia, un problema ben peggiore è emerso in seguito e coinvolge direttamente lo staff tecnico di TIM e la loro gestione del software VMware.
Due parole su VMware
Per chi non la conoscesse, VMware Inc. è una società americana che si occupa della realizzazione di software di virtualizzazione e hypervisor mirati a sistemi con architettura x86 e x64.
I prodotti più utilizzati sono quelli della linea consumer VMware Workstation e VMware Fusion, progettati per funzionare rispettivamente in ambiente Windows/Linux e Mac OS X.
Tuttavia, VMware possiede anche un’altra linea di prodotti, ovvero VMware vSphere e VMware vCloud Director, entrambi destinati a utenti di fascia enterprise.
Questi fanno uso di un sistema operativo proprietario, chiamato VMware ESXi, che funge da vero e proprio hypervisor per gli ambienti virtualizzati su esso, con lo scopo di creare vere e proprie server farm con svariati host dello stesso.
TIM, come molte altre aziende attive nel settore delle telecomunicazioni, fa uso della suite VMware vCloud Director, che estende le funzionalità del software Sphere in modo da gestire agevolmente i propri datacenter virtuali basati su logiche multi tenant. Questo perché ogni singola istanza dell’architettura software deve essere necessariamente eseguita da un server, per permettere a più organizzazioni di ricevere un servizio adatto alle proprie esigenze.
La falla di VMware
A febbraio 2021 VMware ha reso pubblica una falla rilevata nei suoi prodotti:
- VMware ESXi
- VMware vCenter Server
- VMware Cloud Foundation
Questa, in seguito rinominata CVE-2021-21972, è stata segnalata privatamente da svariati utenti e indicata dall’azienda stessa come un problema presente nel codice HTML5 di vSphere Client. La gravità della stessa è stata valutata 9.8/10 in base all’indice CVSSv3.1, ovvero gravità massima.
Un attore malevolo che ottiene l’accesso alla rete interna su porta 443 può sfruttare questa vulnerabilità per eseguire un attacco di tipo RDP con privilegi amministratore sul sistema operativo che ha in host vCenter Server.
In questo modo, il criminale può estrarre tutto ciò che è presente sul server e passare quasi del tutto inosservato agli occhi dell’hypervisor, causando un ingente danno all’azienda. VMware ha tempestivamente rilasciato un aggiornamento per i suoi prodotti, denominato KB82374, che porta il sistema operativo ESXi alla versione 7.0 U1c e corregge la falla. Tuttavia, non aveva fatto i conti con la situazione di TIM.
L’indagine del CSIRT ha messo in luce come, nonostante gli stessi avvisi di VMware, nessuno dello staff tecnico si sia preoccupato di applicare la patch correttiva ai server della compagnia, che risultavano ancora sulla versione 7.0 di ESXi, sebbene l’aggiornamento fosse disponibile da almeno due anni.
Le opinioni degli esperti
La mancata applicazione delle dovute patch di sicurezza sui server TIM, hanno immediatamente scatenato le ire di Corrado Giustozzi, senior cybersecurity strategist e docente di sicurezza informatica alla Luiss di Roma, e di Stefano Zanero, docente di computer security presso il Politecnico di Milano.
Nello specifico, Giustozzi ha puntato il dito verso la pessima gestione della sicurezza informatica italiana, la quale viene presa in considerazione solo quando un’azienda subisce un attacco e la notizia finisce in prima pagina.
Infatti, possiamo assolutamente stabilire che ad oggi gli attacchi hacker avvengono nel 90% dei casi in questo modo:
ci si accorge che una falla di sicurezza nota non è stata ancora corretta e la si sfrutta per colpire chi ha scelto volutamente di non proteggersi.
Zanero non è stato da meno.
Facendo eco al collega, ha aggiunto che il problema alla base è l’assenza di una diversificazione dei server e dei provider di rete, in quanto fanno tutti capo a TIM e sfruttano la stessa identica banda.
Come ci si può proteggere da un attacco hacker?
Con il moltiplicarsi degli attacchi mirati a protocolli di rete obsoleti, vecchie versioni di sistemi operativi e campagne di phishing sempre più subdole, la soluzione migliore è quella di prestare attenzione a come si configura un ambiente software, unito al fare affidamento su persone competenti in materia.
Di seguito sono riportati alcuni consigli su come proteggersi al meglio:
- Aggiornare sempre i dispositivi
L’aggiornamento consente di disporre di patch correttive contro le vulnerabilità emerse nelle ultime versioni del software, in modo da essere al sicuro da attori malevoli pronti a sfruttarle per i propri fini.
Il vero ostacolo è convincersi che un aggiornamento non conduce automaticamente al brick e all’obsolescenza immediata del proprio dispositivo: mentalità che sfortunatamente non sarà debellata facilmente.
- Dotarsi di hardware adeguato
Per effettuare anche le più banali delle operazioni in rete, è necessario dotarsi di un hardware al passo coi tempi e costantemente aggiornato.
L’investimento deve essere ragionato non in termini del singolo istante, ma nel corso degli anni.
Per cui è consigliato investire una cifra più alta in un hardware di alta qualità e di alta efficienza, in modo che il proprio investimento possa essere duraturo nel tempo e garantire il corretto svolgimento delle operazioni.
- Collaborazione e sensibilizzazione
Occorre la completa collaborazione coi propri dipendenti e collaboratori esterni, in quanto basta un singolo elemento non in linea con quanto richiesto dalle regole di sicurezza, per esporre la propria impresa e i suoi clienti a pericoli molto seri.
Ecco perché si rendono necessarie delle campagne di sensibilizzazione verso la cybersecurity e l’avere tra le proprie fila uno staff competente in materia.
- Diversificazione dei server e monitoraggio costante degli stessi
Poiché gli attacchi hacker prendono sempre di mira i server delle compagnie, è necessario che questi siano diversificati tra loro, protetti con credenziali forti e costantemente aggiornati. L’utilizzo di una rete unica non è sempre la soluzione migliore, in quanto basta una falla nella stessa per aprire le porte a tutte le entità ad essa connesse.
Conclusione
L’attacco a MyTim ha dimostrato ancora una volta quanto poco sia presa in considerazione la sicurezza informatica in Italia.
La negligenza dello staff tecnico, responsabile della gestione dei server e degli aggiornamenti del sistema operativo hypervisor, è senza mezzi termini inaccettabile.
Il CDA di TIM dovrebbe prendere in seria considerazione l’ingresso della cybersecurity al suo interno e condurre un’alfabetizzazione generale sul tema in tutto il Paese. Ciò che però servirebbe maggiormente, è una diversificazione del mercato delle telecomunicazioni, in quanto l’assenza di una vera concorrenza e il monopolio di un singolo ente porta a questi spiacevoli episodi.
- Autore articolo
- Gli ultimi articoli
Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.